Appearance
Trainer 24: Practical Simulation Set (D1/D5/D3)
目的
本番に近い思考負荷で、主語 -> 時制 -> 比較理由 を崩さずに解く。
使い方
- 各ケースを60〜120秒で解く
- 回答後に1文理由を必ず書く
- 誤答は
E1..E6で分類してFix Ruleを1行追加
Simulation 01 (D1 / first)
- 状況: 新規クラウド導入をCIOが急いでおり、監査要件確認前に稼働したいと言っている。
- 問い: CISOとして最初に実施すべき行動は何か。
- 勝ち筋: 法令/契約要件の確認と報告ライン確立。
- 罠: ツール導入や設定変更を先に行う。
Simulation 02 (D5 / best)
- 状況: 海外拠点含む全社でSSO導入済み。退職者アカウントが数日残る事故が発生。
- 問い: 再発防止として最適なIAM改善は何か。
- 勝ち筋: JMLの即時デプロビジョニングと監査証跡の自動化。
- 罠: パスワード強化だけで済ませる。
Simulation 03 (D3 / best)
- 状況: 機密設計データを扱うシステムで暗号は導入済みだが、鍵がアプリサーバ上に平文で保存されている。
- 問い: 最も重要な設計改善は何か。
- 勝ち筋: 鍵管理基盤(HSM/保護領域)と鍵ライフサイクル統制。
- 罠: 暗号アルゴリズムだけを変更。
Simulation 04 (D1+D5 / first)
- 状況: 経営層から特権IDの共有運用を「緊急対応時のみ」認める提案が出ている。
- 問い: 最初に提示すべき代替案は何か。
- 勝ち筋: 共有ID禁止の原則維持 + 緊急時のPAM/JIT運用。
- 罠: 例外運用を正式化して恒常化。
Simulation 05 (D3+D1 / most likely)
- 状況: 新規セキュリティ製品がEAL高評価を取得。導入を急ぐ声が強い。
- 問い: 導入失敗の最もあり得る原因は何か。
- 勝ち筋: 評価ラベル過信、運用要件・適用範囲未確認。
- 罠: 認証レベルが高いから全要件に適合するとみなす。
Simulation 06 (D5 / best)
- 状況: RBAC運用で部署横断プロジェクトの権限管理が破綻し、過剰権限が増えている。
- 問い: 最適なアクセス制御モデル改善は何か。
- 勝ち筋: RBACにABAC条件を重ねたハイブリッド化。
- 罠: ロールを増やして複雑化させるだけ。
Simulation 07 (D1 / best)
- 状況: 委託先ベンダーで情報漏えいが発生。契約上は委託先責任とされている。
- 問い: 組織側の最適な次アクションは何か。
- 勝ち筋: 説明責任は委譲不可として、監督統制・報告・是正計画を実施。
- 罠: ベンダー責任のみを理由に自組織対応を最小化。
Simulation 08 (D3 / first)
- 状況: 重要システムでセキュアブート検証が不整合。改ざん疑いあり。
- 問い: 最初に確認すべき技術要素は何か。
- 勝ち筋: Root of Trust と鍵チェーンの整合確認。
- 罠: OS再インストールを先に実施。
採点テンプレ
| Case | Answer | 1文理由 | Error Code | Fix Rule |
|---|---|---|---|---|
| 01 | ||||
| 02 | ||||
| 03 | ||||
| 04 | ||||
| 05 | ||||
| 06 | ||||
| 07 | ||||
| 08 |
目標
- 8ケース中6ケース以上で「理由の一貫性」が取れること
firstケースで順序逆転を0にすること